馮 明,陳 倩
(天津易通易聯(lián)科技有限公司,天津300000)
隨著信息化進(jìn)程的不斷深入,安全往往是由內(nèi)而外、逐層遞進(jìn),如何在成功建立了資產(chǎn)管理運(yùn)行機(jī)制的基礎(chǔ)上,全面實(shí)現(xiàn)終端接入的流程化、標(biāo)準(zhǔn)化和規(guī)范化,在從終端至入網(wǎng)之前就確保其安全性、擴(kuò)容量與可信度,從而提升網(wǎng)絡(luò)整體安全,即已成為企業(yè)亟待探討攻關(guān)的重要問題。本文提供的設(shè)計(jì)方案將可為用戶從根本上解決終端多、信息亂、接入隨意、查找困難等管理問題,并為用戶構(gòu)建全網(wǎng)終端接入全生命周期的可視、可管、可查看的5W審計(jì)平臺(tái)。
如圖1所示,在架構(gòu)復(fù)雜的網(wǎng)絡(luò)環(huán)境下,本文采取的是雙機(jī)熱備部署方案,分別旁路部署在總部主備核心交換機(jī),推薦與現(xiàn)有網(wǎng)絡(luò)環(huán)境無縫接合的技術(shù)方案,完全遵循在不修改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及配置的情況下完成部署。
圖1 系統(tǒng)的整體設(shè)計(jì)架構(gòu)Fig.1 Overall design architecture of the system
產(chǎn)品部署后,工作人員擬將遵循的入網(wǎng)流程即如圖2所示。
圖2 入網(wǎng)工作的的設(shè)計(jì)流程Fig.2 Design process for network access work
(1)自動(dòng)化資產(chǎn)統(tǒng)計(jì)。純旁路部署到客戶網(wǎng)絡(luò)后,在不開啟任何準(zhǔn)入策略的情況下,即可實(shí)現(xiàn)全網(wǎng)資源的統(tǒng)計(jì),統(tǒng)計(jì)信息包含:IP-MAC-VLAN-主機(jī)名-終端類型-交換機(jī)-端口-操作系統(tǒng)-瀏覽器-分辨率等等。協(xié)助用戶建立全網(wǎng)資源統(tǒng)計(jì)平臺(tái),其次,協(xié)助用戶自動(dòng)分類網(wǎng)內(nèi)資源的終端類型,建立全網(wǎng)泛終端的統(tǒng)一展示及管理平臺(tái)。
(2)終端快速定位。通過SNMP簡單可網(wǎng)管協(xié)議,建立與交換機(jī)網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng),自動(dòng)創(chuàng)建終端與交換機(jī)端口對(duì)應(yīng)關(guān)系,從而實(shí)現(xiàn)了終端快速定位平臺(tái)。
(3)自動(dòng)化用戶信息搜集的管理手段。對(duì)于自動(dòng)化提取的研究來說,需建立流程化、規(guī)范化、標(biāo)準(zhǔn)化的終端接入管控平臺(tái)。準(zhǔn)入是主要的技術(shù)手段,通過強(qiáng)制隔離,友好portal引導(dǎo),建立實(shí)名制ID管理。PC(移動(dòng)終端)新接入網(wǎng)絡(luò),默認(rèn)無法與網(wǎng)內(nèi)通信,打開Web頁面自動(dòng)portal引導(dǎo)頁面,管理員可指定一次性入網(wǎng)登記、審批的流程,建立終端自動(dòng)化臺(tái)賬管理,實(shí)現(xiàn)接入可信。其次,管理員也可定義入網(wǎng)終端輸入用戶名密碼認(rèn)證方式自動(dòng)化接入流程,建立動(dòng)態(tài)的終端接入檔案,動(dòng)態(tài)的人機(jī)對(duì)應(yīng)關(guān)系。
(4)多元素綁定。在對(duì)信息進(jìn)行自動(dòng)統(tǒng)計(jì)的基礎(chǔ)上,支持多元素綁定,如IP-MAC-VLAN-主機(jī)名-交換機(jī)-端口-使用人等信息的綁定。當(dāng)其中任意參數(shù)發(fā)生變化,則將其阻斷,并采取強(qiáng)制隔離的技術(shù)手段,使得管理難度降低,并具有可視性。
(5)增值方案-網(wǎng)絡(luò)邊界威脅感知。在統(tǒng)計(jì)數(shù)據(jù)的基礎(chǔ)上,可以協(xié)助用戶構(gòu)建網(wǎng)絡(luò)邊界威脅感知平臺(tái),自動(dòng)發(fā)現(xiàn)、告警、定位和阻斷網(wǎng)絡(luò)內(nèi)部未準(zhǔn)入的小路由、wireless AP、便攜式WIFI等。及時(shí)感知和定位網(wǎng)絡(luò)內(nèi)部的IP地址沖突、廣播風(fēng)暴等潛在的安全隱患,并于必要時(shí)進(jìn)行主動(dòng)報(bào)警。
(6)增值方案-IP地址管理。除安全功能以外,還集成了運(yùn)維方面的功能,即IP地址管理平臺(tái),協(xié)助用戶建立IP地址自動(dòng)統(tǒng)計(jì)、自動(dòng)回收、自動(dòng)下發(fā)的全自動(dòng)平臺(tái),并且可以完全替換人工Excel表格的統(tǒng)計(jì)方式,結(jié)合準(zhǔn)入功能,建立IP-MAC-使用人-VLAN-交換機(jī)端口的自動(dòng)登記平臺(tái),為用戶提供追溯還原審計(jì)平臺(tái)。
網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)可為用戶完美解決現(xiàn)有需求,為后期的發(fā)展趨勢(shì)提供前瞻性解決方案。本系統(tǒng)采用純旁路部署,可以在保持客戶的原有網(wǎng)絡(luò)架構(gòu)以及原有配置的基礎(chǔ)上,對(duì)系統(tǒng)網(wǎng)絡(luò)不產(chǎn)生任何影響;具備靈活可混合式的準(zhǔn)入技術(shù),可以有效適應(yīng)各種網(wǎng)絡(luò)環(huán)境并且不完全依賴于網(wǎng)絡(luò)環(huán)境;系統(tǒng)采用的是無客戶端部署模式;擁有多級(jí)指紋綁定機(jī)制,智能鑒別仿冒終端;提供特色的終端類型識(shí)別功能,實(shí)現(xiàn)網(wǎng)絡(luò)層準(zhǔn)入管理,為用戶打造智能、可視、易用的網(wǎng)絡(luò)邊界管理平臺(tái)。